TRIBUNAL

JUDICIAIRE

DE PARIS [1]

[1]

Expéditions

exécutoires

délivrées le :

M^e THIERRY LEUFROY

M^e GALLET

■

9ème chambre 1ère section

N° RG 22/11269

N° Portalis 352J-W-B7G-CXXEH

N° MINUTE : 5

Assignation du :

23 Août 2022

JUGEMENT

rendu le 01 Juillet 2024

DEMANDERESSE

Madame [D] [L] épouse [M]

[Adresse 5]

[Localité 7]

représentée par Maître Stéphanie THIERRY LEUFROY de la SELARL THIERRY-LEUFROY, avocats au barreau de MEAUX, vestiaire #43

DÉFENDERESSE

Société CAISSE D’EPARGNE ET DE PREVOYANCE ILE-DE-FRANCE

[Adresse 4]

[Localité 6]

représentée par Maître Vincent GALLET, avocat au barreau de PARIS,vestiaire #E1719

Décision du 01 Juillet 2024

9ème chambre 1ère section

N° RG 22/11269 – N° Portalis 352J-W-B7G-CXXEH

COMPOSITION DU TRIBUNAL

Anne-Cécile SOULARD, Vice-présidente

Marine PARNAUDEAU, Vice-présidente

Patrick NAVARRI, Vice-président

assistés de Chloé DOS SANTOS, Greffière lors de l’audience et de la mise à disposition.

DÉBATS

A l’audience du 29 Avril 2024 tenue en audience publique devant Marine PARNAUDEAU, juge rapporteur, qui, sans opposition des avocats, a tenu seule l’audience, et, après avoir entendu les conseils des parties, en a rendu compte au Tribunal, conformément aux dispositions de l’article 805 du Code de Procédure Civile. Avis a été donné aux avocats des parties que la décision serait rendue le 01 juillet 2024.

JUGEMENT

Rendu publiquement par mise à disposition au greffe

Contradictoire

En premier ressort

EXPOSE DU LITIGE

[D] [M] a ouvert dans les livres de la CAISSE D’ÉPARGNE ET DE PRÉVOYANCE ÎLE-DE-FRANCE (la CAISSE D’ÉPARGNE) un compte courant n° [XXXXXXXXXX02]. Elle bénéficie par ailleurs du service de banque à distance « DIRECT ÉCUREUIL » et a adhéré au dispositif d’authentification « SECUR’PASS », pour valider à distance des opérations bancaires, depuis l’application mobile.

Il a été validé au moyen de ce dispositif « SECUR’PASS » les opérations suivantes :

— le 10 septembre 2021 à 20h15 : ajout du compte externe [XXXXXXXXXX08] ;

— le 10 septembre 2021 à 20h17 : virement de la somme de 13 590 euros, du compte courant de Mme [M] vers le compte externe [XXXXXXXXXX08] ;

— le 10 septembre 2021 à 20h28: virement de la somme de 1 390 euros, du compte courant de Mme [M] vers le compte externe [XXXXXXXXXX08].

Le 14 septembre 2021, Mme [M] déposait plainte contre X pour des faits d’escroquerie.

Par jugement du 21 avril 2023, le tribunal judiciaire de Paris a déclaré plusieurs prévenus coupables des faits d’escroquerie, reçu Mme [M] en sa constitution de partie civile et les a déclarés entièrement responsables des préjudices subis par Mme [M]. Un appel a été interjeté contre cette décision.

La CAISSE D’ÉPARGNE n’ayant pas procédé au remboursement des virements contestés, [D] [M] a fait assigner devant le tribunal judiciaire de Paris cette dernière en annulation des deux virements et en remboursement de la somme totale débitée, au visa des articles 1240, 1353 du code civil et L.133-16 et suivants du code monétaire et financier, par acte signifié le 14 septembre 2022.

Aux termes de ses dernières conclusions notifiées par voie électronique le 20 juillet 2023, [D] [M] demande au tribunal, au visa des articles 1240, 1353 du code civil et L.133-16 et suivants du code monétaire et financier, de :

«  – Déclarer la demande de Madame [D] [M] recevable et bien fondée, et en conséquence :

— Constater que Madame [M] a parfaitement respecté ses obligations contractuelles et légales au sens de l’article L 133-19 du Code monétaire et financier ;

— Condamner LA CAISSE D’EPARGNE à verser à Madame [M] la somme de 14.980 € en remboursement des sommes frauduleusement soustraites sur son compte bancaire n°[XXXXXXXXXX01] ;

— Dire et Juger que la somme de 14.980 € sera augmentée des intérêts au taux légal à compter du 13 septembre 2021 ;

— Condamner LA CAISSE D’EPARGNE à verser à Madame [M] la somme de 4.000 € en réparation de son préjudice moral ;

— Prononcer l’exécution provisoire du Jugement à intervenir ;

— Condamner LA CAISSE D’EPARGNE à verser à Madame [M] la somme de 4.320 € au titre de l’article 700 du code de procédure civile ;

— Condamner LA CAISSE D’EPARGNE aux entiers dépens dont distraction à Maître Stéphanie THIERRY-LEUFROY, avocat aux offres de droit, conformément aux dispositions de l’article 699 du code de procédure civile. "

Comme relaté dans sa plainte, [D] [M] indique avoir été destinataire, le 24 août 2021, d’un courriel de la société NETFLIX évoquant des difficultés concernant sa connexion et ses données bancaires. Elle précise avoir reçu, le 10 septembre 2021, un appel tardif d’une personne se présentant comme étant un employé du service des transactions frauduleuses de la CAISSE D’ÉPARGNE, le numéro affiché étant le [XXXXXXXX03].

Elle ajoute que cette personne connaissait ses nom, prénom, fonctions, numéro de compte, l’adresse de son agence bancaire, ainsi que ses dernières opérations bancaires, et qu’elle l’a informée que son compte bancaire faisait l’objet d’une intrusion et de transactions frauduleuses. Mme [M] souligne avoir effectué plusieurs manipulations afin de bloquer ces opérations frauduleuses, après avoir, par sécurité, demandé l’identité de sa conseillère.

Elle affirme avoir, en toute bonne foi – croyant aider son interlocuteur à mettre fin à la fraude -, transmis, sur les sollicitations de ce tiers, les identifiants de son espace internet ainsi que les codes qu’elle recevait en temps réel sur son téléphone portable.

Le 13 septembre 2021, elle déclare avoir été contactée par sa banque qui avait constaté l’émission de deux virements d’un montant total de 14 980 euros. Contestant être à l’origine de ces virements frauduleux, Mme [M] précise avoir alors demandé le remboursement des sommes dissipées et s’être heurtée au refus de la CAISSE D’EPARGNE. Elle soutient que cette position de la CAISSE D’EPARGNE est à l’origine de son préjudice moral, Mme [M] se prévalant de sa bonne foi. Arguant de toutes les vérifications préalables effectuées auprès de son interlocuteur, [D] [M] conteste avoir fait preuve de négligence dans l’utilisation et la conservation de ses moyens de paiement et soutient avoir été victime de manœuvres frauduleuses, comme l’a retenu la juridiction pénale.

Elle relève enfin que la CAISSE D’EPARGNE ne justifie pas que Madame [M] aurait agi frauduleusement, ou par négligence grave à ses obligations.

Par conclusions récapitulatives notifiées par voie électronique le 14 septembre 2023, la CAISSE D’ÉPARGNE demande au tribunal, au visa de l’article 1240 du code civil, des articles L. 133-16 et L. 133-19 du Code monétaire et financier, de :

« - JUGER qu’en déférant aux instructions d’un tiers et en lui communiquant son identifiant bancaire, les mentions apposées sa carte bancaire, ses mots de passe et chacun des codes d’authentification qu’elle recevait sur son téléphone portable, Madame [D] [M] a manqué, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés ;

— JUGER mal fondée la demande de Madame [D] [M] formée sous le visa de l’article 1240 du Code civil ;

— JUGER en toute hypothèse que Madame [D] [M] ne justifie d’aucun préjudice imputable à la CAISSE D’EPARGNE ET DE PREVOYANCE ILE-DE-FRANCE ;

En conséquence,

— DEBOUTER Madame [D] [M] de l’ensemble de ses demandes, fins et conclusions, en toutes fins qu’elles comportent ;

— CONDAMNER Madame [D] [M] à payer à la CAISSE D’EPARGNE ET DE PREVOYANCE ILE-DE-FRANCE la somme de 2 500 euros par application de l’article 700 du Code de procédure civile ;

— CONDAMNER Madame [D] [M] aux entiers dépens et dire qu’ils pourront être recouvrés par Maître Vincent GALLET, Avocat au barreau de Paris, selon les modalités de l’article 699 du Code de procédure civile. "

La défenderesse expose, tout d’abord, que les opérations contestées avaient bien été validées au moyen du dispositif d’authentification forte « SECUR’PASS » nécessitant obligatoirement la saisie du code secret préalablement défini par ses soins ou l’utilisation de la fonction biométrique et que le système d’authentification forte SECUR’PASS a permis à Mme [M] d’effectuer l’ajout d’un compte externe puis les deux virements querellés.

Elle soutient que ce sont les données de connexion à son espace personnel (identifiant et mot de passe) et les codes de sécurité que [D] [M] admet avoir reçus par SMS et qu’elle reconnaît avoir communiqué à un tiers par téléphone, qui ont permis de valider chacune des opérations contestées et de leur conférer un caractère irrévocable. Elle en déduit que [D] [M] qui a fait état dans son dépôt de plainte, du caractère tardif de l’appel téléphonique de son interlocuteur et d’un numéro de téléphone portable, n’a pas eu un comportement prudent. Déniant toute faute et relevant l’absence de défaillance de son système informatique, la CAISSE D’EPARGNE observe que la bonne foi de la demanderesse est indifférente au bien-fondé de son action.

Elle ajoute qu’étant liée par une convention à la demanderesse, seule sa responsabilité contractuelle et non délictuelle peut être recherchée.

Conformément aux dispositions de l’article 455 du code de procédure civile, il est fait expressément référence aux écritures des parties visées ci-dessus quant à l’exposé de leurs moyens.

L’ordonnance de clôture est intervenue le 29 janvier 2024.

EXPOSE DES MOTIFS

Sur la demande de remboursement des virements litigieux

L’article L. 133-7 alinéa 1 du code monétaire et financier dispose que « Le consentement est donné sous la forme convenue entre le payeur et son prestataire de services de paiement. (…) En l’absence d’un tel consentement, l’opération ou la série d’opérations de paiement est réputée non autorisée ».

L’article L.133-18 alinéa 1 du code monétaire et financier, dans sa rédaction applicable au litige, dispose que : « En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les conditions prévues à l’article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l’opération non autorisée immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement et s’il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l’état où il se serait trouvé si l’opération de paiement non autorisée n’avait pas eu lieu. »

En cas d’opération de paiement non autorisée signalée par l’utilisateur dans les délais prévus par l’article L. 133-24 du même code, le prestataire de services de paiement du payeur rembourse à ce dernier le montant de l’opération non autorisée sauf s’il a de bonnes raisons de soupçonner une fraude de l’utilisateur du service de paiement.

Dans cette hypothèse, il incombe au prestataire de paiement de prouver que l’opération litigieuse a été effectuée après une authentification forte, dûment enregistrée et comptabilisée et qu’elle n’a pas été affectée par une déficience technique ou autre, l’utilisation de l’instrument de paiement telle qu’enregistrée par le prestataire de services de paiement, à savoir l’utilisation des identifiants du client et l’absence de déficience technique ou autre, notamment par le biais de la production d’un relevé de ses connexions, ne suffisant pas nécessairement en tant que telle à prouver que l’opération a été autorisée par le payeur.

Décision du 01 Juillet 2024

9ème chambre 1ère section

N° RG 22/11269 – N° Portalis 352J-W-B7G-CXXEH

L’article L. 133-4 (f) du même code précise qu’une authentification forte s’entend d’une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories « connaissance » (quelque chose que seul l’utilisateur connaît telle qu’un mot de passe, un code secret, une question secrète, etc…), « possession » (quelque chose que seul l’utilisateur possède telle qu’un téléphone portable, une montre connectée, une clé USB etc…) et « inhérence » (quelque chose que l’utilisateur est, telle que la reconnaissance faciale ou vocale, la reconnaissance par empreinte digitale, etc…) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. L’authentification forte repose donc sur l’utilisation de deux de ces éléments, voire plus.

Par ailleurs, la responsabilité du payeur n’est pas engagée si l’opération de paiement non autorisée a été effectuée en détournant, à son insu, l’instrument de paiement ou les données qui lui sont liées. Cependant, il supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’agissements frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L.133-16 et L.133-17 du code précité.

Ainsi, pour échapper au remboursement de l’opération contestée, le prestataire de services de paiement doit démontrer, soit que l’ordre émanait bel et bien du client dûment authentifié dans son espace personnel, soit que le vol des identifiants de connexion (ou d’autres données) n’est que la conséquence d’une faute grave de sa part consistant à ne pas avoir satisfait intentionnellement aux obligations lui incombant en la matière ou à les avoir gravement négligées.

En l’espèce, les virements contestés ont été exécutés selon une procédure d’authentification forte au sens des textes précités mais Mme [M] soutient avoir été victime d’une escroquerie utilisant le mode opératoire du « ALLO ».

Il appartient donc à la CAISSE D’ÉPARGNE d’apporter la preuve que les virements contestés ont été exécutés par suite du manquement intentionnel ou provoqué par une négligence grave du titulaire du compte à son obligation de prendre toute mesure raisonnable pour préserver la sécurité des dispositifs de sécurité personnalisés d’accès au compte bancaire sur lequel les virements ont été opérés.

À cet égard, il résulte des termes de sa plainte, de son courrier adressé au médiateur du groupe CAISSE D’EPARGNE et de ses écritures que Mme [M] reconnaît avoir effectué, à la demande d’un tiers, plusieurs actions destinées à bloquer les opérations frauduleuses qui lui avaient été signalées, afin de sécuriser son compte bancaire, à savoir la divulgation de son identifiant et de son mot de passe pour se connecter à son espace en ligne d’une part et la communication en temps réel des codes qu’elle recevait par SMS (dont la capture d’écran est produite aux débats) sur son téléphone portable d’autre part.

Il est également établi que l’ajout d’un compte externe et les deux ordres de virement ont fait l’objet d’une « saisie via internet mobile avec authentification secur’pass ».

Il est constant que durant la période litigieuse, le système de sécurité de la banque n’a présenté aucune défaillance.

Il n’est également pas contesté que [D] [M] est restée en possession de son téléphone portable et de ses moyens de paiement.

De plus, il ressort de l’article 5.2 des conditions générales spécifiques du service direct écureuil que « l’utilisation de ses numéros et code est strictement personnelle. Le client s’oblige à les ternir secrets et à ne les communiquer à quiconque, même à la banque qui ne peut en avoir connaissance et ne les lui demandera jamais ».

Par ailleurs, le mail envoyé à Mme [M] par la CAISSE D’EPARGNE le 10 septembre 2021 à 20h28 l’informant de la prise en compte du virement d’un montant de 1390 euros contient la formule suivante « si vous n’être pas à l’origine de l’opération, veuillez contacter un conseiller de la Caisse d’Epargne dans les meilleurs délais ».

Dans la mesure où toutes les opérations litigieuses ont été effectuées selon une authentification forte, qu’elles sont toutes datées du 10 septembre 2021 entre 20h10 et 20h28, soit à la date des manipulations effectuées par Mme [M] à la suite de l’appel téléphonique qu’elle a reçu, il ne peut qu’être considéré que la demanderesse a commis une négligence grave à l’origine desdites opérations.

Mme [M] ne saurait donc soutenir que la fraude dont elle a été victime était à l’époque peu connue et que son attention n’avait pas été préalablement appelée sur le fait qu’il importait de ne pas se connecter, confirmer ou refuser une opération sur son espace en ligne, même sur une demande émanant prétendument de sa banque.

Il en résulte qu’un tiers a pu se connecter au compte de [D] [M] pour effectuer les opérations d’ajout de bénéficiaire puis les virements litigieux, étant observé que la décision de la juridiction pénale dont fait état la demanderesse n’a pas un caractère définitif.

La requérante sera donc déboutée de sa demande de remboursement de la somme de 14 890 euros, sur ce premier fondement.

Sur la demande de dommages-intérêts

Aux termes de l’article 1240 du code civil, tout fait quelconque de l’homme qui cause à autrui un dommage oblige celui par la faute duquel il est arrivé à le réparer.

Il appartient à celui qui s’en prévaut de rapporter la preuve d’une faute, d’un préjudice et d’un lien de causalité.

Eu égard à la solution du litige, Mme [M] sera déboutée de sa demande de dommages- intérêts en ce qu’une convention de dépôt lie les deux parties à l’instance d’une part, et qu’aucune faute à l’égard de la CAISSE D’EPARGNE n’est prouvée.

Sur les demandes accessoires

Partie perdante au procès, Mme [M] sera condamnée aux dépens, avec distraction au profit de Maître Vincent GALLET, Avocat au barreau de Paris, selon les modalités de l’article 699 du code de procédure civile.

Pour ce motif, Mme [M] sera déboutée de sa demande formée au titre de l’article 700 du code de procédure civile.

L’équité commande de rejeter la demande formée par la CAISSE D’EPARGNE au titre des frais irrépétibles.

La présente décision est revêtue de droit de l’exécution provisoire conformément à l’article 514 du code de procédure civile dans sa version applicable dès le 1er janvier 2020.

PAR CES MOTIFS

Le tribunal, statuant par jugement contradictoire, en premier ressort et publiquement par mise à disposition au greffe,

DÉBOUTE [D] [M] de l’intégralité de ses demandes ;

DÉBOUTE la CAISSE D’ÉPARGNE de sa demande formée au titre de l’article 700 du code de procédure civile ;

CONDAMNE [D] [M] aux dépens, avec distraction au profit de Maître Vincent GALLET, Avocat au barreau de Paris, selon les modalités de l’article 699 du code de procédure civile ;

RAPPELLE que l’exécution provisoire de la présente décision est de droit.

Fait et jugé à Paris le 01 Juillet 2024.

LA GREFFIERELA PRÉSIDENTE